de afgelopen 14 jaar heb ik beheerders, auditors en beveiligingsprofessionals over de hele wereld geholpen om te begrijpen hoe het domein wachtwoordbeleid werkt in Active Directory. Het standaardgedrag is niet veranderd in die 14 jaar, dus je kunt je voorstellen hoeveel mensen Ik heb geholpen, en niet te vergeten hoe vaak ik erover heb gesproken.
dus waarom het hier vermelden?, Goed, Ik vind nog steeds admins en auditors niet begrijpen hoe het domein wachtwoord beleid werkt, dus laat me het hieronder uitleggen.
bij elke installatie van Active Directory wordt standaard het domeinwachtwoordbeleid ingesteld (voor alle gebruikers die zijn geconfigureerd en opgeslagen in Active Directory). Figuur 1 illustreert hoe deze configuraties eruit zien en waar u ze kunt vinden in het standaard domein beleid.
figuur 1. Standaard domein beleid wachtwoord beleid.,
de manier waarop het wachtwoordbeleid werkt, is dat dit groepsbeleidsobject en de instellingen binnen dit groepsbeleidsobject de domeincontrollers (DCS) en de Active Directory-databases die zich daarop bevinden, configureren. Het is de verantwoordelijkheid van de DCs en databases op hen om elk wachtwoord dat wordt geprobeerd om te worden geschreven naar de database te filteren, om ervoor te zorgen dat het wachtwoord voldoet aan de wachtwoordbeleidsinstellingen.
opmerking: door Groepsbeleid te gebruiken, kan er slechts één wachtwoordbeleid zijn voor de domeingebruikers., Door een groepsbeleidsobject aan een organisatie-eenheid te koppelen en te configureren, wordt het wachtwoordbeleid niet anders geconfigureerd voor de gebruikers in die organisatie-eenheid. Instellingen voor wachtwoordbeleid zijn van invloed op computers (zie Figuur 1) en niet op Gebruikersaccounts!
wat u kunt doen is een nieuw groepsbeleidsobject maken, het koppelen aan het domeinniveau en het een hogere prioriteit geven dan het standaard domeinbeleid. De instellingen in dit nieuwe groepsbeleidsobject (u stelt bijvoorbeeld de minimumwachtwoordlengte in) overschrijven de instellingen in het standaarddomeinbeleid vanwege de hogere prioriteit. U hebt voorrang ingesteld in het hulpprogramma Groepsbeleidsbeheer, dat u kunt zien in Figuur 2.
Figuur 2., Elk groepsbeleidsobject dat aan het domein is gekoppeld, heeft een voorrang ten opzichte van de andere groepsbeleidsobjecten.
als u meerdere wachtwoordbeleidsregels in hetzelfde domein wilt hebben, moet u een product van derden kopen of kunt u de fijnkorrelige wachtwoordbeleidsregels gebruiken. Fijnmazig wachtwoordbeleid is een Microsoft-technologie om wachtwoordbeleid te beheren, maar gebruik Groepsbeleid niet als implementatiemechanisme.,
om het effectieve domeinwachtwoordbeleid te controleren, kunt u uiteraard niet alleen kijken naar het standaarddomeinbeleid, omdat een ander groepsbeleidsobject dat aan het domein is gekoppeld mogelijk andere wachtwoordbeleidsinstellingen bevat die het standaarddomeinbeleid overschrijven. Dus hoe controleert u correct het effectieve wachtwoordbeleid voor uw domeingebruikers die zijn opgeslagen op domeincontrollers?
het antwoord is eenvoudig en een ingebouwd hulpmiddel! Het gereedschap is secpol.msc en u kunt dit uitvoeren op elke domeincontroller vanaf de opdrachtprompt of de startknop / zoekprogramma ‘ s en bestanden doos., Figuur 3 illustreert hoe het resultaat eruit zou zien.
Figuur 3. Secpol.msc geeft de werkelijke instellingen voor de computer.
met behulp van secpol.msc tool, kunt u met 100% zekerheid controleren wat de huidige wachtwoordbeleidsinstellingen zijn voor uw domeingebruikers.
rapporten over Active Directory groepsbeleidsobjecten beheren en ophalen.
gratis download
afdwingen granulair, groep/OU-gebaseerd wachtwoordbeleid voor AD-gebruikers.
gratis download
volg wijzigingen in real-time in AD-groepsbeleidsobjecten.,
gratis download